¿De qué manera el emulador de Symantec Endpoint Protection detecta y limpia el software malicioso?

Symantec Endpoint Protection
14 introdujo un emulador nuevo muy eficaz para brindar protección contra el software malicioso proveniente de ataques en paquetes personalizados. Para Auto-Protect y los análisis de virus, este emulador mejora el rendimiento y la eficacia del análisis en por lo menos un 10 % respecto de las versiones anteriores. Esta técnica de anti-evasión aborda las técnicas de confusión de software malicioso en paquete y detecta el software malicioso que está oculto dentro de paquetes personalizados.
¿Qué son los paquetes personalizados?
Muchos programas maliciosos usan “paquetes” o programas de software que se usan para comprimir y cifrar archivos para transportarlos. Estos archivos, luego, se ejecutan en la memoria cuando llegan al equipo del usuario.
Si bien los paquetes no son software malicioso propiamente dichos, los atacantes los usan para ocultar software malicioso y disimular la verdadera intención del código. Una vez que el software malicioso se desembala, ejecuta e inicia su carga útil, muchas veces, omitiendo firewalls, gateways y protección contra software malicioso. Los atacantes han pasado de usar paquetes comerciales (como UPX, PECompact, ASProtect y Themida) a crear paquetes personalizados. Los paquetes personalizados usan algoritmos de propietarios para omitir las técnicas de detección estándar.
Muchos de los paquetes personalizados nuevos son polifórmicos. Usan una estrategia antidetección mediante la cual el código cambia frecuentemente, pero el fin y la funcionalidad del software malicioso sigue siendo el mismo. Los paquetes personalizados también usan métodos más inteligentes para inyectar el código en un proceso de destino y cambiar su flujo de ejecución, a veces, empleando rutinas habituales de desembalaje. Algunos de ellos son intensivos en términos informáticos y llaman API especiales que dificultan el desembalaje.
Los paquetes personalizados se han sofisticado cada día más para ocultar los ataques hasta que ya resulta demasiado tarde.
¿De qué forma el emulador de
Symantec Endpoint Protection
brinda protección contra los paquetes personalizados?
El emulador de alta velocidad de
Symantec Endpoint Protection
hace que el software malicioso piense que se ejecuta en un equipo común. Sin embargo, el emulador desembala y detona el archivo del paquete personalizado en un espacio aislado virtual ligero en el equipo cliente. Entonces, el software malicioso abre su carga útil por completo y las amenazas se revelan en un entorno contenido. Un analizador de datos estáticos, que incluye el motor antivirus y el motor de heurística, analiza la carga útil. El espacio aislado es efímero y desaparece una vez que se resuelve la amenaza.
El emulador requiere una tecnología sofisticada que imita sistemas operativos, las API e instrucciones de procesadores. Al mismo tiempo, administra la memoria virtual y ejecuta diferentes análisis heurísticos y tecnologías de detección para examinar la carga útil. Demora un promedio de 3,5 milisegundos en el caso de los archivos limpios y 300 milisegundos en el caso del software malicioso, aproximadamente el mismo tiempo que los usuarios cliente tardan en hacer clic en un archivo en sus escritorios. El emulador puede detectar amenazas rápidamente sin ejercer demasiado impacto sobre el rendimiento y la productividad, de modo que no interrumpen las actividades de los usuarios cliente. Además, el emulador usa una cantidad mínima de espacio libre en disco, un máximo de 16 MB de memoria en el entorno virtual.
El emulador funciona con otras técnicas de protección, que incluyen el aprendizaje automático avanzado, la mitigación de puntos vulnerables en la memoria, la supervisión de comportamiento y el análisis de reputación. A veces, hay muchos motores que entran en juego y colaboran en respuesta para prevenir, detectar o reparar ataques.
El emulador no usa Internet. Sin embargo, los motores del analizador de datos estáticos pueden necesitar Internet según el software malicioso que extraiga el emulador del paquete personalizado.Consulte:
¿Cómo se configura el emulador?
El emulador se genera dentro del software de
Symantec Endpoint Protection
, por lo que no es necesario configurarlo. Symantec cambia regularmente el contenido del emulador o le agrega nuevas amenazas y lanza actualizaciones de contenido cuatrimestrales para el motor del emulador. De forma predeterminada, LiveUpdate descarga automáticamente el contenido con las definiciones de virus y spyware.Consulte:
Symantec Endpoint Protection Manager
no incluye diferentes registros para las detecciones que realiza el emulador. Por el contrario, se pueden encontrar las detecciones en el Registro de riesgos y en el Registro de análisis.Consulte: